Распределенная ИТ-среда с несколькими администраторами в одном клиенте Microsoft Intune

  • Статья

Многие организации используют распределенную ИТ-среду, в которой у них есть один клиент Microsoft Intune с несколькими локальными администраторами. В этой статье описывается один из способов масштабирования Microsoft Intune для поддержки нескольких локальных администраторов, которые управляют своими пользователями, устройствами и создают собственные политики в рамках одного Microsoft Intune клиента. Нет правильного или неправильного ответа о том, сколько администраторов вы можете иметь в вашем клиенте. В этой статье рассматриваются клиенты с большим количеством локальных администраторов.

Распределенная ИТ-служба необходима в системах, где большое число локальных администраторов подключаются к одному клиенту Intune. Например, некоторые учебные системы организованы таким образом, что у вас есть локальный администратор для каждого учебного заведения в системе или регионе. Иногда в этой распределенной среде может быть 15 или более разных локальных администраторов, которые обкатываются в одну центральную систему или Microsoft Intune клиент.

Каждый локальный администратор может настроить группы в соответствии со своими организационными потребностями. Как правило, локальный администратор создает группы и упорядочивает несколько пользователей или устройств по географическому расположению, отделу или характеристикам оборудования. Локальные администраторы также используют эти группы для управления задачами в большом масштабе. Например, локальные администраторы могут задавать политики для многих пользователей или развертывать приложения на наборе устройств.

Роли, которые необходимо знать

  • Центральная команда. Центральная команда или группа включает глобальных администраторов или основных администраторов в вашем клиенте. Эти администраторы могут контролировать всех локальных администраторов и предоставлять рекомендации для местных администраторов.

  • Локальные администраторы. Локальные администраторы являются локальными и сосредоточены на политиках и профилях для конкретных расположений; школы, больницы и так далее.

Управление доступом на основе ролей

В этом разделе кратко описываются различные модели и предлагаются рекомендации для каждой модели по управлению политиками, профилями и приложениями между центральной командой и локальными администраторами. Ниже приведены следующие модели:

  • Модель частичного делегирования
  • Модель полного делегирования
  • Центральная модель
  • Переданная модель
  • Гибридная модель

Модель частичного делегирования

Модель частичного делегирования предлагает следующие рекомендации по управлению политиками между центральной командой и локальными администраторами.

✔️ Разрешения

  • Создание, обновление и удаление разрешений для политик, профилей регистрации и приложений должны находиться в центральной команде.
  • Предоставьте локальным администраторам только разрешения на чтение и назначьте их.

✔️ Повторного использования

  • Часто настроенные политики, профили регистрации и приложения должны быть доступны локальным администраторам для максимально возможного повторного использования.
  • Microsoft Intune использует много общих конфигураций, которые относятся к нескольким категориям. Ознакомьтесь с рекомендациями по политикам защиты приложений.
  • Как локальные администраторы подключены, они должны проверить существующие политики и повторно использовать их по мере необходимости.

✔️ Исключения

  • При необходимости центральная команда может создавать определенные политики, профили регистрации и приложения в виде исключений от имени локальных администраторов. Как правило, эти исключения включают любой тип профиля, требующий уникальных параметров.

Модель частичного делегирования предлагается в следующих двух областях:

Рекомендации по группам и назначениям для локальных администраторов. Какие рекомендации для локальных администраторов следует применять при организации групп для управления устройствами с помощью Microsoft Intune? Чтобы узнать об этом, ознакомьтесь со статьей Группирование, нацеливание и фильтрация Intune: рекомендации по оптимальной производительности — Microsoft Tech Community

Рекомендации для конкретных функций. Управление политиками, профилями и приложениями между центральным центром и локальными администраторами с определенными разрешениями для различных функций. Дополнительные сведения см. в разделе Рекомендации по конкретным функциям.

Модель полного делегирования

Модель полного делегирования предлагает следующие рекомендации по управлению политиками между центральной командой и локальными администраторами.

  • Каждый локальный администратор должен иметь собственный тег область, чтобы разделить каждый объект, которым он полностью управляет.
  • Если локальному администратору не нужно создавать, обновлять или удалять, предоставьте локальному администратору роль с разрешениями на чтение и назначение и избегайте назначения любой другой роли с полным разрешением. При таком подходе можно избежать объединения разрешений для область тегов.
  • Иногда локальным администраторам может потребоваться создать собственные политики, профили и приложения при совместном использовании некоторых общих политик, профилей и приложений. В таких случаях создайте специальную группу и назначьте ей общие политики, профили и приложения. Эта группа не должна быть включена в группу области для любого локального администратора. Группа областей. Такой подход предотвращает применение разрешений на создание, обновление и удаление, назначенных локальным администраторам, к этим общим политикам, профилям и приложениям.

Центральная модель

В центральной модели одна локальная команда администраторов (родительская) управляет несколькими дочерними организациями. Такие факторы, как география, подразделение или размер, могут относиться к дочерним организациям.

  • Существует только один тег область, используемый для охвата всех управляемых локальных администраторов.

  • По возможности команда локальных администраторов должна стандартизировать назначения между локальными администраторами и поместить все свои устройства в одну группу Microsoft Entra для назначения. Если невозможно создать одну Microsoft Entra группу, локальная команда администраторов может создавать разные Microsoft Entra группы для выполнения различных назначений.

  • Если другая локальная команда администраторов управляет организацией или перемещает ее, необходимо выполнить следующие действия:

    • Все устройства и пользователи организации должны быть извлечены из общих Microsoft Entra групп в область исходной локальной команды администрирования.

    • Для всех политик, приложений и профилей, назначенных уникально для этой организации, необходимо обновить тег область для новой локальной команды администрирования.

Переданная модель

В модели передачи несколькими локальными администраторами (дочерними) управляются как их выделенный локальный администратор, так и группа локальных администраторов-посредников. Администраторы-родители и дети имеют собственные теги область для представления границ управления.

  • Если есть менее 50 дочерних администраторов, промежуточным локальным администраторам может быть предоставлен доступ, назначив все теги область детей назначению роли RBAC промежуточных локальных команд администрирования.
  • Если есть более 50 дочерних администраторов, промежуточная локальная команда администраторов должна предоставить свой собственный тег область, чтобы представлять всю коллекцию дочерних администраторов, которых они контролируют.
  • Недавно созданные политики в тегах область дочерних администраторов должны иметь промежуточный тег, добавленный ролью глобального администратора, чтобы предотвратить потерю видимости промежуточным локальным администратором.

Гибридная модель

В гибридной модели один и тот же родительский администратор используется одновременно в модели Central и Devolved. Для этой модели нет особых рекомендаций.

Рекомендации по конкретным функциям

В зависимости от бизнес-требований для каждой функции рекомендации, приведенные в этом разделе, могут рекомендовать создавать политики для локального администратора и (или) делегировать разрешения, необходимые для создания объектов, локальным администраторам.

Примечание.

Руководство, приведенное в этом разделе, не относится ко всем функциям, а охватывает только те области, для которых у нас есть специальные инструкции.

политика защита приложений

Политики защиты приложений — это правила, которые обеспечивают защиту корпоративных данных (включая те, которые хранятся в управляемых приложениях). Дополнительные сведения см. в разделе политики защита приложений.

Рекомендации по политикам защита приложений разделены между центральной командой и местными администраторами следующим образом:

Центральная команда — задачи

  • Изучите требования к безопасности и бизнес-требованиям в организации и создайте набор общих политик защита приложений для локальных администраторов.
  • Прежде чем создавать политики защита приложений, ознакомьтесь с приведенными рекомендациями, чтобы определить, какие элементы управления безопасностью подходят.
  • У вас есть установленный метод, с помощью которого локальные администраторы могут при необходимости запрашивать настраиваемые политики защита приложений для конкретных бизнес-потребностей, когда бизнес-требования не могут быть достигнуты с помощью существующих общих политик.
  • Конкретные рекомендации по каждому уровню конфигурации и минимальным приложениям, которые должны быть защищены, см. в статье Платформа защиты данных с помощью политик защита приложений, перейдите к защита приложений политикам.

Локальные администраторы — разрешения и задачи

  • Предоставьте разрешения на чтение и назначение, но не создавайте, обновляйте и удаляйте разрешения в управляемых приложениях, чтобы они не могли создавать собственные политики защита приложений.
  • Предоставьте разрешения на чтение и назначение политик конфигурации приложений своим приложениям.
  • Предоставляйте разрешения на чтение и назначение, только если для управляемых и неуправляемых устройств существуют разные политики защиты. Если центральная команда предлагает только одну политику для обеих, политика конфигурации приложения не требуется.
  • Если используется политика конфигурации приложений, рекомендуется назначить политику конфигурации приложения всем экземплярам приложения без исключения.
  • Выберите один из распространенных политик защита приложений. Локальные администраторы могут попросить центральную команду создать настраиваемые политики защиты приложений в качестве исключения и только при необходимости.
  • Дополнительные сведения см. в разделе политики защита приложений.

Политика соответствия требованиям

Политики соответствия требованиям в Intune определяют правила и параметры, которым должны соответствовать пользователи и устройства. Дополнительные сведения о политиках соответствия см. в разделе Политики соответствия требованиям.

Центральная команда

Центральная команда должна создать общие политики соответствия для локальных администраторов на выбор и только при необходимости создавать политики исключений. Дополнительные сведения см. в разделе Политики соответствия требованиям. Создание политик включает в себя создание пользовательских сценариев политики соответствия, так как они имеют тот же масштаб, что и обычная политика соответствия.

Дополнительные сведения о создании политики соответствия см. в разделе Политики соответствия требованиям.

Локальные администраторы

Предоставьте локальным администраторам разрешения на чтение и назначение, но не создавайте, обновляйте и не удаляйте разрешения на политику соответствия. Разрешения на чтение и назначение позволяют им выбирать из стандартных политик соответствия, созданных центральной командой, и назначать их пользователям и устройствам.

Конфигурация устройства

Содержание

  • Ограничения устройств и общая конфигурация
  • Доступ к ресурсам
  • Круги обновления Windows
  • Обновления функций
  • Обновления качества

Ограничения устройств и общая конфигурация

  • Предоставьте локальным администраторам разрешение на создание, обновление и удаление в пределах своих область.

  • Используйте каталог параметров и базовые показатели безопасности в максимально возможной степени вместо профилей, созданных в списке Профили конфигурации, чтобы уменьшить масштаб в Центре администрирования Microsoft Intune.

  • Как правило, центральная команда должна попытаться централизованно отслеживать содержимое конфигураций и по возможности заменять множество повторяющихся профилей общим профилем.

Доступ к ресурсам

Рекомендуется использовать модель полного делегирования .

Круги обновления Windows

  • Мы рекомендуем централизованно управлять кругами обновлений Windows. Центральная команда должна создать столько общих политик круга обновлений Windows, сколько необходимо для поддержки отклонений локальных администраторов.
  • Локальные администраторы не должны создавать собственные круги обновлений Windows. При делегировании большого числа администраторов общее количество объектов может стать большим и трудным для управления. Рекомендации различаются для каждой функции. Дополнительные сведения см. в разделе Круги обновлений Windows.

Обновления функций

Рекомендуется использовать модель полного делегирования .

Обновления качества

Рекомендуется использовать модель полного делегирования .

Сертификаты

  • Мы рекомендуем использовать разрешения через центральную команду для подключения и отключения соединителей по мере необходимости. Подключение соединителей для каждого локального администратора для поддержки выдачи сертификатов.

  • Не предоставляйте локальным администраторам разрешения на соединители UPDATE или DELETE.

Приложения

Предоставьте локальным администраторам полные разрешения на управление приложениями в степени их область.

Содержание

  • Программа приобретения корпоративных лицензий Apple

  • Windows

  • Android

Дополнительные сведения см. в статье Управление приложениями.

Программа приобретения корпоративных лицензий Apple

В настоящее время не существует проблем с масштабированием для поддерживаемого количества токенов программы volume Purchase Program. Дополнительные сведения см. в разделе Сколько маркеров можно отправить.

Windows

Android

  • Локальные администраторы должны выбрать существующие приложения магазина или попросить центральную команду добавить новые приложения магазина Android. Локальные администраторы не должны создавать новые приложения магазина Android. Общее количество объектов может стать большим и трудным для управления.

  • При необходимости локальные администраторы могут создавать бизнес-приложения Android в пределах кроссплатформенного бизнес-приложения и ограничения веб-ссылок.

  • Центральная команда должна добавить управляемые приложения Google Play.

    • Центральная команда может просматривать только управляемые приложения Google Play, доступные в стране или регионе своего клиента. Если центральной команде требуется управляемое приложение Google Play, доступное только в некоторых странах или регионах, возможно, ей потребуется поработать с разработчиком приложения, чтобы правильно отобразить его в списке.
    • Центральная команда должна управлять всем содержимым, связанным с управляемыми приложениями Google Play, включая частные приложения, веб-приложения и коллекции. Например, если клиент планирует использовать управляемый iframe Google Play для публикации частных приложений, он должен сделать это с помощью одной учетной записи разработчика, принадлежащей центральной команде.
    • Центральная команда может выбрать один тег область в качестве тега область Managed Google Play. У него есть специальный раскрывающийся список на странице соединителя Managed Google Play. Тег область будет применяться ко всем управляемым приложениям Google Play после того, как центральная команда добавит их в консоль, но не будет применяться задним числом к уже добавленным приложениям. Настоятельно рекомендуется, чтобы центральная команда установила тег область перед добавлением приложений, а затем назначила каждой региональной команде, которая область тег. В противном случае региональные администраторы могут не видеть свои управляемые приложения Google Play.

  • Для каждого устройства поддерживается только одна политика OEMConfig, за исключением устройств Zebra. На устройствах Zebra настоятельно рекомендуется использовать минимальное количество политик, так как время применения политики является добавочный. Например, если назначить шесть политик с предположением, что они будут наложены друг на друга, для начала работы на устройстве потребуется примерно в 6 раз больше времени, чем одна политика.

Примечание.

При настройке режима обновления с высоким приоритетом во многих различных приложениях и группах соблюдайте осторожность. Это происходит по нескольким причинам:

  • Хотя для многих приложений можно установить режим с высоким приоритетом, одновременно можно установить только одно обновление приложения. Одно большое обновление приложения может потенциально блокировать множество небольших обновлений до завершения установки большого приложения.
  • В зависимости от того, когда приложения выпускают новые обновления, может произойти внезапный всплеск использования сети, если выпуски приложений совпадают. Если Wi-Fi недоступен на некоторых устройствах, также может возникнуть всплеск использования сотовой связи.
  • Хотя уже упоминалось о нарушениях взаимодействия с пользователем, проблема растет по мере того, как все больше приложений перенастроились в режим обновления с высоким приоритетом.

Дополнительные сведения о проблемах масштабирования, касающихся обновлений управляемых приложений Google Play с использованием режима обновления с высоким приоритетом, см . в этой статье Techcommunity.

Профили регистрации

Содержание

  • Autopilot
  • Страница состояния регистрации (ESP)
  • Apple Business Manager (ABM)
  • Профили Android Enterprise
  • ограничения регистрации;
  • Категории устройств

Autopilot

  • Предоставьте локальным администраторам разрешения на чтение устройств Autopilot и отправку новых устройств Autopilot.
  • Локальные администраторы не должны создавать профили Autopilot. При делегировании большого числа администраторов общее количество объектов может стать большим и трудным для управления. Рекомендации зависят от области функций. Дополнительные сведения о Autopilot см . в статье Использование Autopilot для регистрации устройств Windows в Intune.

Страница состояния регистрации

  • Локальные администраторы должны выбрать один из существующих профилей страницы состояния регистрации для назначения или попросить центральную команду создать профиль исключения, только если это необходимо.
  • Локальные администраторы не должны создавать профили страниц состояния регистрации. При делегировании большого числа администраторов общее количество объектов может стать большим и трудным для управления. Рекомендации зависят от области функций. Сведения на странице состояние регистрации см. в разделе Настройка страницы состояния регистрации.

Apple Business Manager

По возможности локальным администраторам не следует предоставлять разрешения на создание, обновление или удаление профилей регистрации. Если локальным администраторам предоставлены разрешения на создание профилей Apple Business Manager, они также предоставляют им разрешения на создание, обновление и удаление в Autopilot. Однако локальные администраторы не должны создавать профили Autopilot.

При делегировании большого числа администраторов общее количество объектов может стать большим и трудным для управления. Рекомендации зависят от области функций. Дополнительные сведения см . в статье Регистрация устройств Apple в Intune с помощью Apple Business Manager.

Профили Android Enterprise

  • Центральная команда должна создать корпоративные профили регистрации выделенных устройств Android Enterprise для каждого локального администратора для группирования устройств.
  • По возможности локальным администраторам не следует предоставлять разрешения на создание, обновление или удаление на устройствах Android Enterprise. Эти ограничения не позволяют локальным администраторам изменять параметры Android Enterprise на уровне клиента и глобальный полностью управляемый профиль регистрации.

ограничения регистрации;

  • Один и тот же набор разрешений управляет как конфигурацией устройства, так и ограничениями регистрации. Когда вы предоставляете разрешения на создание для конфигурации устройства, вы также предоставляете разрешения на создание для ограничений регистрации. Однако локальным администраторам не следует давать разрешение на создание профилей ограничений регистрации. Таким образом, им следует проинструктировать не создавать новые профили ограничений регистрации.

  • Ограничения для устройств регистрации определяют, сколько устройств может зарегистрировать каждый пользователь. Ограничения для устройств регистрации должны охватывать все возможные ограничения устройств, которыми могут делиться локальные администраторы. Дополнительные сведения см. в статье Что такое ограничения регистрации.

  • Центральная команда должна максимально стандартизировать ограничения типа устройства и добавлять новые ограничения, но только в качестве особых исключений после того, как локальный администратор изучит существующие ограничения.

Категории устройств

Функция Категории устройств (Категории устройств>) не имеет собственного семейства разрешений. Вместо этого его разрешения регулируются разрешениями, заданными в разделе Организация. Перейдите в раздел Роли администрирования > клиента. Выберите пользовательскую или встроенную роль и выберите Свойства. Здесь можно назначить разрешения, одним из которых является Организация. Поэтому, если вам нужны разрешения на чтение для категорий устройств, задайте разрешения на чтение в организации.

Центральные команды могут создавать категории устройств. Однако локальным администраторам не следует разрешать создавать, обновлять или удалять категории устройств, так как для этого потребуется предоставить им разрешения в организации, предоставив им доступ к другим функциям на уровне клиента, регулируемым разрешениями организации.

Дополнительные сведения см. в разделе Категории устройств.

Аналитика конечных точек

  • Центральная команда должна создать столько общих базовых показателей Endpoint Analytics, сколько необходимо для поддержки отклонений локальных администраторов.
  • По возможности локальным администраторам не следует создавать собственные базовые показатели Endpoint Analytics. При делегировании большого числа администраторов общее количество объектов может стать большим и трудным для управления. Рекомендации зависят от области функций.
  • Дополнительные сведения см. в статье Настройка параметров в аналитике конечных точек.